Kompromittierte Anmeldedaten und von Cyberkriminellen übernommene Konten können für den Zugriff auf Ihre Netzwerke und Unternehmenssysteme missbraucht werden. Mit diesem potenziell lukrativen Hilfsmittel konzentrieren Cyberkriminelle ihre Angriffe zunehmend auf Ihre Identitäten, um Datenexfiltration durchzuführen, IT-Umgebungen zu übernehmen und Ransomware-Angriffe zu starten.
Um genauer zu verstehen, wie Branchenführer auf diese Veränderung der Bedrohungslandschaft reagieren, traf ich mich vor Kurzem bei einem Webinar mit den Proofpoint-Führungskräften Tim Choi, Group Vice President of Product Marketing, und Ofer Israeli, Group Vice President und General Manager of Identity Threat Defense.
Bei diesem Webinar sprachen wir über das wachsende Problem von identitätsbasierten Angriffen, die Herausforderungen bei der Identifizierung gefährdeter Anwender und über den Schutz von Personen und Daten vor Angriffen, die kompromittierte Konten verwenden.
So werden Angriffe durch kompromittierte Identitäten vereinfacht
In unserer Branche wird der Begriff „personenzentriert“ häufig verwendet. Wir wissen, dass Angreifer Menschen ins Visier nehmen, um Ransomware-Kampagnen zu starten oder Daten zu exfiltrieren. Cyberkriminelle gehen heutzutage jedoch noch weiter.
Bedrohungsakteure greifen inzwischen Menschen an, um deren Identitäten zu kompromittieren. Anschließend versuchen sie mithilfe dieser Identitäten, ihre Zugriffsmöglichkeiten und Berechtigungen zu erweitern und sich lateral im Unternehmen zu bewegen, um weitere Angriffe zu starten und umfangreiche Daten zu stehlen.
Dank Tools wie Mimikatz und Bloodhound, mit denen sich verborgene Beziehungen, Kontoberechtigungen und Angriffspfade identifizieren lassen, wurde das Angreifen von Identitäten, Stehlen von Anmeldedaten und Erweitern von Berechtigungen erheblich vereinfacht.
Das sollten Sie über hochriskante Identitäten wissen
Böswillige Akteure müssen zwei Dinge wissen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen: Wo sind die gewünschten Daten gespeichert und mit welchen Identitäten kann ich darauf zugreifen?
In den meisten Fällen lautet die Antwort auf die zweite Frage: Service-Konten. Diese werden nicht immer durch eine Lösung zur Verwaltung privilegierter Zugriffe geschützt und bieten häufig Zugriff auf verschiedene Dateien und Systeme, die lediglich mit statischen und damit praktisch wirkungslosen Kennwörtern abgesichert sind.
Normale Nutzer, bei denen es sich in Wirklichkeit um Schatten-Administratoren handelt, sind ebenfalls stark gefährdet. Deren Konten sind typischerweise nicht als privilegiert gekennzeichnet, verfügen jedoch aufgrund komplizierter und schwer nachvollziehbarer Active Directory-Gruppenmitgliedschaften über verschiedenste Zugriffsrechte.
Wo sind Unternehmen am stärksten durch identitätsbasierte Angriffe gefährdet?
Den meisten Unternehmen bereitet die Identitäts- und Zugriffsverwaltung (IAM) seit vielen Jahren Mühe. Zugriffsrechte haben sich zu einem lebendigen Organismus entwickeln – und Sicherheitsteams müssen versuchen, ihn zu verstehen. Die Probleme betreffen vor allem diese drei Bereiche:
- Mehrfach genutzte Anmeldedaten
- Gespeicherte Anmeldedaten
- Mehrfach genutzte Kennwörter
Die meisten Anwender haben dutzende oder sogar hunderte Benutzernamen und Kennwörter für die verschiedensten Konten. Und es gibt wahrscheinlich einige Anmeldedaten, die sie zumindest für einige der Konten gemeinsam verwenden. In diesem Fall muss nur eine Website erfolgreich angegriffen werden, damit diese Anmeldedaten bei mehreren Konten und Systemen ausgenutzt werden können.
Unternehmen müssen bei der Speicherung von Kennwörtern äußerst vorsichtig sein. Zuallererst sollten diese Informationen aus der Umgebung entfernt werden, für die sie genutzt werden.
Leider beginnen viele identitätsbasierte Angriffe mit Drive-by-Hacking. Bei dieser Angriffsform erlangen die Cyberkriminellen die Anmeldedaten aus Kennwortspeichern oder Datenkompromittierungen und versuchen anschließend per Password Spraying, auf verschiedene Unternehmenskonten zuzugreifen.
So schützen Sie Ihre Identitäten
Cybersicherheit ist ein asynchroner Kriegsschauplatz. Sobald wir neue Kontroll- oder Schutzmechanismen entwickelt haben, finden die Kriminellen eine Möglichkeit, diese Maßnahmen zu überwinden. Genau das passiert gerade.
Zahlreiche Statistiken bestätigen, dass Bedrohungsakteure selbst bei sehr großen Kompromittierungen direkt durch die Eingangstür in Unternehmen gelangen, weil sie Zugriff auf mehrfach genutzte Anmeldedaten und Identitäten erlangen konnten, die über umfangreichere Zugriffsrechte verfügen, als im betroffenen Unternehmen bekannt ist.
Im Grunde genommen ist das ein Problem der Cyberhygiene. Die meisten Menschen lassen sich gern von neuen, coolen und modernen Sicherheitsfunktionen begeistern und übersehen dabei schnell grundlegende Regeln, d. h. einfache Cybersicherheitshygiene, den allgemeinen Überblick und das Verständnis der Umgebung.
Wie können Proofpoint Spotlight und Proofpoint Shadow helfen?
Die Lösungen Proofpoint Spotlight und Proofpoint Shadow decken beide Aspekte von identitätsbasierten Angriffen ab:
- Proofpoint Spotlight konzentriert sich auf den Aspekt der Cyberhygiene – die Lösung sucht und bereinigt gefährdete Identitäten in Ihrer Umgebung.
- Proofpoint Shadow sorgt für eine Umgebung, in der für Angreifer zahlreiche Fallen ausgelegt sind, die zu lateralen Bewegungen motivieren und Sicherheitsteams so auf ihre Anwesenheit aufmerksam machen.
Sie erhalten also einen besseren Überblick, können Identitätsrisiken schnell erkennen sowie beheben und bekommen Möglichkeiten zum Aufdecken und Verhindern von Rechteerweiterungen, bevor Ihre Daten, Systeme und Netzwerke weiter geschädigt werden.
Identitäten sind die wichtigsten Assets Ihres Unternehmens
Angreifer konzentrieren sich zunehmend auf kompromittierte Identitäten, mit denen sich Daten exfiltrieren, IT-Umgebungen übernehmen und Ransomware-Angriffe starten lassen. Weitere Informationen erhalten Sie in unserem Webinar „Identity Is The New Attack Surface“ (Identität ist die neue Angriffsfläche).
Lesen Sie unser kostenloses Magazin New Perimeters
Weitere Artikel und wertvolle Tipps zum Unterbrechen der Angriffskette erhalten Sie in der Ausgabe unseres Magazins „New Perimeters“ zum Thema „Identität ist die neue Angriffsfläche“.